miércoles, 8 julio 2026 · Sem. 28 DE · EN · FR · ES Oscuro
Opiniones de expertos

Prohibir la IA oscura es el reflejo más costoso en la ciberseguridad

Dos tercios de los empleados utilizan IA, a menudo sin aprobación. Prohibir la Shadow AI la lleva a esconderse y aumenta el riesgo.

Por Tobias Massow 6 julio 2026 7 min de lectura
Prohibir la IA oscura es el reflejo más costoso en la ciberseguridad

5 Min. de lectura

En cuanto una empresa descubre que los empleados utilizan una herramienta de IA sin aprobación, la respuesta es casi refleja: prohibirla. El reflejo es comprensible. También está condenado al fracaso. Las cifras de 2026 muestran un ejército de trabajadores que ya utilizan IA, ya sea permitido o no. Quien lo prohíbe no reduce su uso. Solo lo hace invisible.

Lo más importante en resumen

  • El uso ya está aquí: Según estudios sectoriales de 2026, alrededor de dos tercios de los empleados utilizan herramientas de IA en el trabajo, a menudo sin aprobación. Una prohibición cambia poco al respecto.
  • Las prohibiciones aumentan el riesgo: Quien empuja la IA a la clandestinidad pierde el control sobre los datos que se introducen en ella. Ahí es donde se producen las fugas costosas.
  • La brecha es la gobernanza: Dos tercios utilizan IA, pero solo alrededor de una quinta parte de las organizaciones tienen una política de IA. Aprobar y controlar supera al bloqueo.

Relacionado:Cuando la IA escribe la mayor parte del código  /  Cómo MCP hace madura para la empresa la conexión de IA

La prohibición pierde antes de empezar

Empecemos por la realidad incómoda. Los estudios de 2026 muestran un mismo patrón en todos los análisis: entre la mitad y dos tercios de los empleados recurren a herramientas de IA, gran parte de ellos sin el visto bueno de TI. En la gran mayoría de las organizaciones hay usuarios de este tipo. Una prohibición no afecta a unos pocos casos aislados, sino a la mitad de la plantilla.

Y no funciona. Según el Microsoft Work Trend Index, una parte considerable de los usuarios oculta el uso de IA de todos modos, por temor a parecer prescindibles. Una prohibición solo les da una razón más para hacerlo en secreto. El trabajo pasa de la cuenta corporativa al móvil personal, de la herramienta controlada a la pestaña anónima del navegador. Así, deja de ser visible.

Quien haya intentado prohibir por decreto una herramienta útil en el día a día de los trabajadores del conocimiento conoce el resultado. La gente elige el camino más cómodo, sobre todo si les hace más productivos. No es desobediencia. Es el día a día laboral.

67 a 18
Alrededor del 67 % de los empleados utilizan IA en el trabajo, pero solo alrededor del 18 % de las organizaciones tienen una política formal de seguridad de IA. La brecha es el verdadero problema.
Fuente: Estudios sectoriales sobre Shadow AI, 2026

Quien prohíbe, aumenta el riesgo

Ahora el argumento que esgrime el bando de la prohibición: la seguridad. Y sí, el riesgo es real. Encuestas de 2026 revelan que un tercio de los empleados ya ha introducido búsquedas internas o conjuntos de datos en herramientas de IA, un cuarto datos de personal y casi otro tanto información financiera. No son nimiedades. Son secretos comerciales en servidores ajenos.

Pero de ahí se deriva lo contrario a una prohibición. IBM cuantifica en un 16 % el sobrecoste que la utilización no controlada de IA añade al coste de una fuga de datos. Una de cada cinco organizaciones ya ha sufrido una fuga relacionada con la IA en la sombra. Estos incidentes ocurren donde nadie mira. Una prohibición crea precisamente ese punto ciego, porque expulsa el uso de los sistemas supervisados.

La seguridad no se logra mirando hacia otro lado, algo que impone una prohibición. Se logra con visibilidad. Y la visibilidad solo existe cuando el uso se realiza a la luz.

La brecha es la gobernanza, no la curiosidad

Aquí reside el verdadero escándalo de las cifras. Dos tercios utilizan IA, pero solo una quinta parte de las empresas cuenta con una política al respecto. El problema, por tanto, no es que los empleados sean curiosos. El problema es que la dirección no da respuesta y intenta tapar el vacío con una prohibición.

La alternativa se llama capacitación. Herramientas autorizadas con protección de datos verificada. Normas claras sobre qué datos pueden introducirse y cuáles no. Un punto de contacto que evalúe rápidamente nuevas herramientas, en lugar de bloquearlas de forma generalizada. Y formación que muestre a las personas dónde están los límites reales. Esto devuelve el uso a un marco controlable.

La diferencia con la prohibición es fundamental. La prohibición dice no y espera. La gobernanza dice sí, pero y dirige. Solo una de estas posturas sobrevivirá al contacto con la realidad de 2026.

El mejor argumento del bando contrario

En justicia: hay situaciones en las que una prohibición es correcta. Cuando en Samsung en 2023 se filtró código fuente confidencial a través de una herramienta pública de IA, el bloqueo posterior no fue un acto de pánico, sino un freno de emergencia razonable. En entornos altamente regulados, con secretos comerciales de gran valor o mientras simplemente no exista una alternativa verificada, una prohibición temporal puede ser el único paso responsable.

Este argumento merece respeto. Pero describe una solución transitoria, no un modelo a seguir. Una prohibición que no vaya acompañada de un plan sobre cómo lograr un uso controlado no es una estrategia de seguridad. Es solo una capitulación aplazada.

Mi veredicto

Como solución permanente, la prohibición fracasa ante la verdad más simple: la gente usa IA de todos modos, solo que a escondidas. Como freno de emergencia temporal con una hoja de ruta clara hacia la autorización, es legítima. La diferencia radica en si al no le sigue un sí.

Quien hoy tiene responsabilidad no debería invertir energía en perseguir pestañas ocultas. Debería hacer que la versión autorizada y segura sea tan buena que nadie tenga motivos para escabullirse en las sombras. Esto requiere más trabajo que un cartel de prohibido. También es la única versión que funciona.

Preguntas frecuentes

¿Qué es Shadow AI?

Shadow AI se refiere al uso de herramientas de IA por parte de empleados sin la aprobación oficial del departamento de TI o la dirección. El término se inspira en Shadow IT. Es típico recurrir a servicios de IA de libre acceso para tareas en las que no existe una solución autorizada.

¿Por qué rara vez funcionan las prohibiciones de herramientas de IA?

Porque su uso ya está extendido y es productivo para muchos empleados. Una prohibición lo traslada a dispositivos privados y canales anónimos, en lugar de detenerlo. Así, disminuye la visibilidad y aumenta el riesgo.

¿Qué significa Enablement en el contexto de la IA?

Enablement consiste en proporcionar herramientas de IA verificadas, establecer normas claras para el manejo de datos y formar a los empleados. El objetivo es encauzar el uso, que de todos modos ya se produce, hacia vías controladas, en lugar de prohibirlo.

¿Es alguna vez sensato prohibir?

Como medida de emergencia temporal, sí, por ejemplo, en caso de incidentes agudos de protección de datos o mientras no exista una alternativa verificada. Como solución permanente sin un plan de aprobación paralelo, no, porque el uso continuará de forma invisible.

Lecturas recomendadas de la redacción

Más del MBF Media Netzwerk

Fuente de la imagen: generada por IA (julio de 2026)

También disponible en

FrançaisEnglishDeutsch
MBF Media Newsletter

El briefing mensual para decisores

Una vez al mes, la newsletter de MBF Media reúne lo esencial de cloudmagazin, MyBusinessFuture, Digital Chiefs y SecurityToday, seleccionado por la redacción.

25 000 responsables de IT y negocio leen esta newsletter. Únase.

Suscríbase gratis
MBF Media Newsletter, aktuelle Ausgabe auf dem iPhone
Ein Magazin der Evernine Media GmbH